Много операционни системи поддържат L2TP / IPSec VPN "извън кутията". Комбинирането на услугите, свързани с поверителността и удостоверяване на IPsec (Internet Protocol сигурност), мрежа на тунел тунелиране второ ниво (L2TP) и идентификацията на потребителя чрез ДПРЗ администраторите могат да създават VPN-мрежа на различни коренно различни системи. Това ви позволява да се създаде VPN на Android, Windows, Linux, MacOS и други операционни системи без използването на търговски софтуер.

Това ръководство не покрива монтаж на DHCP, RADIUS, Samba или Public Key Infrastructure (PKI). Той също така не обяснява как да настроите Linux-клиенти, въпреки че тази стъпка може да бъде доста лесно да се получи от ръководството. част от конфигурацията на Windows-клиенти ще бъдат покрити, за целите на конфигурацията на сървъра, отстраняване на проблеми.

Символи

В това ръководство ще се използват следните символи (например Настройки):

• Домейн - example.com
• Име на сървър - vpn.example.com
• Сертификат името на файла CA - ca.crt
• Сертификат на сървъра - vpn.example.com.crt
• Сървър ключ - vpn.example.com.key
• Сертификат Клиент - client.example.com.crt
• Ключови клиенти - client.example.com.key

Първата и най-трудно ниво, за да се коригира - IPsec. Имайте предвид, че IPsec - мрежа връстници, така че в нейния клиент се нарича инициатор терминология. и сървъра - ответника.

Windows използва IKEv1. Има 3 IPsec изпълнение в Portage: IPSec инструменти (миеща мечка), LibreSwan и strongswan.

Следващите раздели обясняват различните конфигурации. За се документира всеки вариант

Вариант 1: IPSec инструменти (миеща мечка)

бележка
Нетната-защитна стена / IPSec инструменти трябва да бъдат събрани със знамето на NAT. ако сървъра е зад NAT или нужда от клиенти за подкрепа зад NAT.

IPSec-инструменти най-малко функционален, но за тези, които идват от * BSD, тя може да бъде по-близко. Въпреки това, за разлика от * BSD, Linux не използва отделен интерфейс за IPsec.

След като инсталирате на IPSec-инструменти, трябва да създадете множество файлове. Първо, създаване на директории, в които те се съхраняват:

корен # защитен режим / и т.н. / миеща мечка / от сертифициращ

корен # защитен режим / и т.н. / миеща мечка / скриптове

Конфигуриране PSK в IPSec инструменти

потребителското $ дд ако = / сътрудничество / произволен брой = 24 BS = 02 Януари> / сътрудничество / нула | hexdump -e '24 / 1 "% 02x" "\ Н" "

Всеки запис във файла се състои от PSK ID и ключ. Windows се идентифицира с пълно домейн име (FQDN). Ключът трябва да бъде определен като низ или шестнадесетично число, започващ с 0x. Във всеки случай, съдържанието (ключовият себе си) - напълно в избора на администратор:

В racoon.conf PSK файл, обозначен с опцията за пътя на файла pre_shared_key.

/etc/racoon/racoon.confIspolzovanie файл миеща мечка с PSK

Конфигуриране на IPSec инструменти въз основа на сертификата

Копирайте ca.crt. vpn.example.com.crt и vpn.example.com.key в / и т.н. / миеща мечка / от сертифициращ. Уверете се, че vpn.example.com.key достъпно за всички потребители.

Освен това, опресняване конфигурация racoon.conf по делото. добавянето на тези файлове с помощта на дистанционното анонимен.

/etc/racoon/racoon.confIspolzovanie сертификат файл с миеща мечка

Отстраняване на IPSec инструменти

Когато възникнат проблеми, този раздел може да даде някои насоки за тяхното решение.

Създаване на политиките за сигурност и NAT

Вариант generate_policy върху; Трябва да се направи енотовидно за създаване на подходяща политика за сигурност за нас. Въпреки това, в присъствието на NAT (дори ако сървърът е зад NAT), той ще го направи, не е така, ние бихме искали. По този начин, ако трафикът не минава през тунела, политиката за сигурност, трябва да бъдат дефинирани и ръчно.

Политика е създаден в /etc/ipsec-tools.conf файл.

Вариант 2: LibreSwan

LibreSwan - издънка на Openswan (която се е издънка на освобождава / WAN). LibreSwan наистина се раздели на две части с опазването на този Openswan разработчиците, но след като са напуснали Xelerance, спорът за името "Openswan" се превърна в съдебен процес, след което беше решено името LibreSwan.

NAT прекосявам е инсталиран по подразбиране в конфигурационния файл LibreSwan, така че не се изискват никакви специални конфигурационни стъпки.

Конфигуриране PSK в LibreSwan

След това създайте /etc/ipsec.d/vpn.example.com.conf.

Създаване LibreSwan с помощта на сертификат

LibreSwan изисква службите за сигурност на мрежата (НСС) се конфигурира правилно, и се използва за управление на сертификати. За да направи по-лесно да изберете, вие трябва да създадете пакет PKCS # 12, съдържащ тайния ключ на сървъра, неговия сертификат и сертификат за Калифорния.

потребителското $ OpenSSL pkcs12-износ -certfile ca.crt -inkey vpn.example.com.key -в vpn.example.com.crt напускане /etc/ipsec.d/vpn.example.com.p12

Тогава пакета могат да бъдат внесени в базата данни на НСС:

корен # CD /etc/ipsec.d

корен # pk12util -i пътя към пакета /vpn.example.com.p12-d.

LibreSwan конфигурационни файлове ще се отнасят за псевдоним на внесените предмети. Използвайте certutil -L-г. и certutil К-г. да го научат.

В горния пример се използва като псевдоним vpn.example.com получен чрез certutil К -d команда.

Тук vpn.example.com - псевдоним, получен чрез certutil -L-г команда.

Вариант 3: strongSwan

strongSwan - е издънка на освобождава / WAN (въпреки че повечето от кода е заменен).

Що се отнася до strongSwan 5.0, NAT байпас е автоматично, няма нужда да конфигурирате.

strongSwan ipsec.secrets не създава файла. Ето защо е необходимо да се установи, че:

корен # докосване /etc/ipsec.secrets CHMOD 664 /etc/ipsec.secrets

Конфигуриране PSK в strongSwan

Освен редактиране /etc/ipsec.conf, както е показано по-долу:

Когато и си тръгна. и предоставено като% всяка. strongSwan предполага, че л А локално на компютъра - л ЕПС.

Създаване strongSwan с помощта на сертификат

Сертификати и ключове трябва да се копират в папката, в която:

корен # ПС ca.crt /etc/ipsec.d/cacerts

корен # ПС vpn.example.com.crt /etc/ipsec.d/certs

корен # ср vpn.example.com.key /etc/ipsec.d/private

корен # chown -R IPSec: /etc/ipsec.d

И накрая, да актуализира /etc/ipsec.conf файл, както е показано по-долу:

Както и преди, когато и лявата. и дясно са равни% всяка. strongSwan предполага, че л А локално на компютъра - л ЕПС.

Отстраняване на неизправности с strongSwan

Pass-чрез IPsec / NAT повреден

В предишните версии на strongSwan чрез IPsec пас не изглежда да работят. Тя връща "не може да отговори на искането IPsec SA, защото няма връзка е известно", или (с комплекс за редактиране на конфигурационния файл) INVALID_HASH_INFORMATION грешка. Това не може да бъде strongSwan с версия 5.0 и по-горе.

Отстраняване на стандартен IPsec

С IPsec не е лесно да се справят с. Този раздел дава няколко съвета за общи проблеми и грешки.

зад NAT сървър

Работно пристанища

Трябва да се отвори 2 порта:

• UDP порт 500 (за ISAKMP)
• UDP порт 4500 (за NAT Traversal)

Уверете се, че тя е изпратена до сървъра VPN.

Следващият интернет протокол (не портове) трябва да бъде решен:

Може да се наложи да ги конфигурирате от страна на рутера, ако има специфични настройки за протоколите (въпреки че по-голямата част от тях не го правят).

Pass-чрез IPsec / NAT повреден

Много рутери имат опция "IPsec проходна", което може да означава едно от следните две неща:

1. Нарушава IPsec пакети по начин, не са съвместими с NAT прекосява IPsec
2. IPsec позволява всички пакети да преминават непроменени през рутера.

Ако IPsec Транзитна средства (1), деактивирате тази опция. Ако той означава (2), а след това го включите.

За съжаление, има рутери, които хвърлят IPsec трафик, дори и ако пристанищата са активирани и поддържа само опция (1). За тези, които имат рутер, има 3 варианта:

1. Надстройка на фърмуера, ако по-нова, добре работеща версия.
2. Отваряне на отчет за грешка / проблем с модела на рутера, ако тя не е остаряла
3. Намери друг рутер. Според описанията, рутери на Linksys и D-Link работят добре.

Първоначално Това ръководство е написано с рутера (Zyxel P-330W), а единствената възможност е (3).

Тези операционни системи не се поддържат автоматично IPsec / L2TP сървър зад NAT. Вижте. KB926179 за промени в регистъра, като ги кара да го поддържа.

Ограничения предварително споделен клавиши (PSK)

Второто ниво, Тунели Протокола от второ ниво (L2TP), регулира много по-лесно. Както IPsec, L2TP - партньорска протокол. страна на клиента, се нарича L2TP Достъп концентратор или Латинска Америка и Карибите и сървъра - L2TP мрежов сървър или LNS.

предупредителен
L2TP е абсолютно не е безопасно и не трябва да бъде на разположение извън връзката IPsec

При използване на IPTABLES, се прилагат следните правила за блокиране на всички L2TP връзки извън IPSec:

корен # IPTABLES -t филтър -A INPUT -p UDP -м политика --dir в --pol IPSec -м UDP --dport L2TP -j ACCEPT

корен # IPTABLES -t филтър -А INPUT -р UDP -m UDP --dport L2TP -j REJECT --reject-с ICMP-порт-недостъпен

корен # IPTABLES -t филтър -A OUTPUT -p UDP -м политика --dir от --pol IPSec -м UDP --sport L2TP -j ACCEPT

корен # IPTABLES -t филтър -А ИЗХОД -р UDP -m UDP --sport L2TP -j REJECT --reject-с ICMP-порт-недостъпен

Използването xl2tpd

За да използвате RADIUS сървър или DHCP, да оставите тази опция е изключена IP диапазон и местно IP. Ако връзката е нестабилна, опитайте да добавите дължина малко = да в раздел LNS подразбиране. Да не се използва ПЧП удостоверяване, сменете изисква удостоверяване = да да откаже удостоверяване = да.

Създаване опция файл:

Използването на RP-L2TP

Конфигуриране на RP-L2TP проста:

Корекцията ниво окончателен - от точка до точка протокол (ПЧП). Пакет за инсталиране - нето-телефонна линия / pptpd.

корен # появяват --ask нето-телефонна линия / pptpd

• Всички клиентски компютри са напълно надеждни и са под контрола или
• Всички потребители имат доверие и ключове само на компютри в близост до потребители, които имат достъп, и никъде другаде, или
• Всички връзки са автоматични (този метод се използва за свързване на различни места)

предупредителен
/ и т.н. / ПЧП / симпатяга тайни съдържа некриптирани пароли, така че се уверете, че само потребителят корен могат да четат или пишат във файла

Ако компютърът ви работи на RADIUS сървъра, ДПРЗ да го използвате. Уверете се, че нетната-телефонна линия / ПЧП е компилиран с радиус използването флаг. След това добавете плъгин radius.so до опциите за ПЧП. RADIUS и PPPD настройка е извън това ръководство.

Отстраняване на проблеми с клиентски

Windows: Правилното инсталиране на сертификата (PKI за потребители)

Сертификатът трябва да бъдат опаковани в PKCS12 пакет. Това може да стане чрез OpenSSL или gnutls:

потребителското $ OpenSSL pkcs12-износ -certfile ca.crt -inkey client.example.com.key -в client.example.com.crt напускане client.example.p12

потребителското $ certtool --load-ва сертификат ca.crt --load сертификат client.example.com.crt --load-privkey client.example.com.key --to-P12 --outfile client.example.com .p12

Внос код ключ в Windows

Разширете сертификати. Изберете някоя папка (без значение какво), щракнете с десния бутон, изберете "Всички задачи" и след това "Внос".. Едва сега се следват инструкциите на магьосника, но в последната стъпка, уверете се, че сте избрали "Автоматичен избор на магазина сертификат въз основа на типа."

Windows: Мрежа RAS грешки

Грешка 766: Удостоверение не може да бъде намерен

Ако има такава грешка, а след това на сертификата не е била внесена правилно. Уверете се, че той е внасял през MMC, вместо да кликнете два пъти върху файла.

Грешка 810: VPN връзка не е завършена

Ако използвате IPSec инструменти (миеща мечка) в системния регистър може да се появи следното съобщение:

Код съобщение за грешка в регистъра на системата при използване на IPSec инструменти / миеща мечка

Това означава, че сертификатът е правилно внесени или P12 пакет не съществува в сертификата за Калифорния. Уверете се, че ключът се внася на MMC и изберете "Автоматичен избор на магазина сертификат въз основа на типа" в края на процеса.

XP SP2 и по-горе: Грешка 809: Сървърът не реагира (зад NAT сървър)

Windows XP SP2 и Vista по подразбиране няма да се свържете със сървъра зад NAT. се изисква регистрация рана. Необходими са отделни кръпки за Windows XP и Windows Vista.

Тази грешка се появява само при използване на PKI. Това означава, че subjectAltName не съответства на сървъра, към който се свързва клиента. Това често се случва, когато се използва Dynamic DNS, - удостоверението е вътрешното име, а не външно. Добави към сертификата външен име, или да деактивирате опцията "Проверка на атрибутите на името и използват сертификата на сървъра" в настройките за връзка: Сигурност -> Advanced Settings -> L2TP.

Грешка 741: The локалния компютър не поддържа необходимия тип криптиране

Windows ще се опита да приложи MPPE (слаб) криптиране, когато

След това се появява тази грешка.

бележка
Свържете И все пак по някакъв начин защитени от IPsec криптиране забранено е необходимо само MPPE.

Mac OS X клиентите трябва да бъдат взискателни относно препоръките, с които те са съгласни. По-специално:

Mac OS X няма да се свърже ако subjectAltName не съответства на сървъра, към който той се свързва. За разлика от Vista, тази проверка не може да бъде деактивирана.

Също така, Mac OS X няма да се свърже ако сертификата на сървъра съдържа полета "Extended Key Usage" (ЕКЮ) (с изключение на остарели ikeIntermediate). По-специално, когато се използват сертификата за полезност лесен RSA OpenVPN. добавена ЕКЮ "TLS WWW сървър" или "TLS WWW клиент", така че тези сертификати няма да работят. Въпреки това, те все още могат да бъдат използвани в Mac OS X клиент, защото той се интересува само за сървър.